网络安全原理与应用（第三版）课件 第9章 恶意软件

1网络安全原理与应用(第三版)第10章恶意软件及防范10.1恶意软件10.2计算机病毒10.3蠕虫10.4特洛伊木马10.5勒索软件（ransomware）10.6反病毒技术10.1恶意软件

恶意软件（malware）是指那些故意设计的、会对计算机软件、硬件、计算机网络、数据、服务以及用户的利益等造成损害的软件。10.1.1恶意软件的历史1971年出现了世界上第一个对计算机病毒概念的证明“Creeper”，Tenex操作系统1982年，第一个mac病毒“ElkCloner”被发现，每当运行受感染的磁盘时，引导扇区病毒就会传播。1983年11月3日，研制可以复制自身的破坏性程序命名为计算机病毒，第一个病毒实验成功1986年初，Pakistan病毒，一年内流传到世界1988年11月2日，莫里斯蠕虫，标志性事件1989年第一个勒索软件AIDSTrojan问世1992年出现的Michelangelo（米开朗基）病毒1996年美国在线最先提到了钓鱼（phishing）1996年，出现针对微软公司Office的宏病毒1998年，首例破坏计算机硬件的CIH病毒出现10.1.1恶意软件的历史2000年第一个被观察到的僵尸网络是EarthLinkSpam2003年8月11日，Blaster突然出现2004年初，蠕虫家族的新贵Mydoom拉开序幕2004年5月，遭遇传播迅猛的震荡波（Sasser）病毒2005年出现的Mytob结合了蠕虫/后门/僵尸网络的功能2005年是间谍软件和劫持软件的时代2008年，Regin是一个高度模块化的远程访问木马2010年6月震网（Stuxnet）病毒首次被检测出来2011-2012现代勒索软件时代到来2016年出现的Mirai是第一个以物联网设备为目标的僵尸网络2017年4月“永恒之蓝”5月wannacry勒索病毒2019年GandCrab和勒索软件作为一种服务出现10.1.2恶意软件的分类和命名恶意软件可从多个维度进行分类，如是否需要宿主程序、是否驻留内存、是否自动执行、是否动态更新等等。通常会是根据恶意软件的行为特征进行分类，常见的恶意软件有计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、流氓软件和恐吓软件等。最早出现的恶意软件是计算机病毒，后期不断涌现的恶意软件有时也被称为病毒，如蠕虫病毒、木马病毒等，但它们与最初的病毒的定义及行为有较大的不同10.1.2恶意软件的分类和命名不同软件厂商对恶意代码的命名方式不太一样，但大多数采用的计算机反病毒研究组织（ComputerAntivirusResearchOrganization-CARO）对恶意软件的命名机制10.1.2恶意软件的分类和命名类型（Type）描述恶意软件在计算机上的行为，Worms,viruses,trojans,backdoor和ransomware最常见的几种恶意代码类型平台（Platform）指示了恶意软件兼容的操作系统，如Windows、masOSX和Android。平台也指示了编程语言和文件类型。家族（Family）是指一组具有同一特性的恶意软件，包括归属同一作者。变种（Varriant）是对同一个恶意软件家族每一个不同的版本的顺序编号后缀（！Suffixes）提供关于恶意软件的额外细节，包括它如何用于多个组件的威胁。10.1.3恶意软件的危害1．恶意软件的入侵渠道（1）利用网络的漏洞，对可攻击的系统实施自动感染；（2）利用浏览器的漏洞，其通过网络被用户下载并执行从而实现感染；（3）故意诱导用户在他们的电脑上执行恶意软件代码，比如提供一个“codec”软件要求用户下载以观看电影，或点击一个将会链接到垃圾邮件的图片。10.1.3恶意软件的危害2．恶意软件的危害（1）数据泄露与隐私侵犯（2）经济损失与勒索攻击（3）网络瘫痪与业务中断（4）网络攻击和僵尸网络（6）破坏数据完整性（7）网络和系统资源滥用（8）滥发垃圾邮件和自我传播10.1.4恶意软件的发展趋势（1）更多的嵌入式功能：收集启用了SMB（ServerMessageBlock）的不同IP，建立与这些IP的连接，挂载SMB资源，然后自我复制并在目标计算机上运行（2）驱动程序滥用：除了杀毒软件驱动程序外，攻击者还在滥用其他类型的驱动程序，如反作弊驱动程序等。（3）采用其他家族的代码以攻击更多目标：主要的勒索软件组织正在从泄露的代码或从其他攻击者那里购买的代码中借用功能，这可能会改善他们自己的恶意软件的功能。这种趋势表明，恶意软件开发者之间可能存在着某种程度的合作和信息共享10.1.4恶意软件的发展趋势（4）基于AI的规避手段：随着人工智能技术的不断发展和应用，新型恶意软件变得更加复杂、更具攻击性，增加了恶意软件攻击检测的难度。（5）从针对性攻击转向规模化的漏洞利用：随着攻击者越来越多地采用自动化的攻击工具和技术，他们可能会从针对性攻击转向规模化的漏洞利用，从而更容易地攻击更多的目标。（6）针对云计算的恶意软件：随着现代企业越来越依赖云服务，对于恶意软件制作者而言，也同样开始觊觎企业在云上的数据信息和业务资产。因此，未来可能会出现更多针对云计算环境的恶意软件攻击。10.2计算机病毒10.2.1病毒概述1．病毒的定义计算机病毒实际上就是一种计算机程序，是一段可执行的指令代码。《中华人民共和国计算机信息系统安全保护条例》中对计算机病毒进行了明确定义：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。10.2.1病毒概述2．病毒的生命周期隐藏阶段：病毒不进行操作，等待事件触发，触发事件包括时间、其它程序或文件的出现、磁盘容量超过某个限度等。有的病毒没有隐藏期，无条件地传播和感染。传播阶段：病毒会把自身的一个副本传播到未感染这种病毒的程序或磁盘的某个扇区中去触发阶段：病毒将被激活去执行病毒设计者预先设计好的功能。需要一些系统事件的触发。执行阶段：病毒将执行预先设计的功能直至执行完毕。这些功能可能是无害的，比如：向屏幕发送一条消息；也可能是有害的，比如：删除程序或文件、强行关机等。10.2.1病毒概述——病毒的一般结构

3．病毒的一般结构对病毒结构的一个非常通用的描述如图所示：病毒代码V被预先放置到想要感染的程序中，并作为被感染程序的入口，在调用受感染程序时，病毒体先得到执行。10.1.3病毒的发展阶段与特征

1．病毒的发展阶段（1）DOS引导阶段（2）DOS可执行阶段

（3）伴随型阶段

（4）幽灵、多形阶段

（5）生成器、变体机阶段

（6）网络、蠕虫阶段

（7）Windows阶段

（8）宏病毒阶段

（9）因特网阶段

（10）Java、邮件炸弹阶段

2．病毒的特征（1）传染性

（2）破坏性

（3）潜伏性

（4）可执行性

（5）可触发性

（6）隐蔽性

10.1.3病毒的发展阶段与特征

10.2.3病毒的分类1．文件感染型文件感染型病毒简称为文件型病毒，主要感染文件扩展名为COM、EXE等的可执行程序，寄生于宿主程序中，必须借助于宿主程序才能装入内存。感染病毒的文件被执行后，病毒通常会趁机再对下一个文件进行感染。大多数文件型病毒都是常驻在内存中的。10.2.3病毒的分类2．引导扇区型简称为引导型病毒，主要影响软盘上的引导扇区和硬盘上的主引导扇区。操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据。引导型病毒利用操作系统的这一特性，占据该物理位置并获得系统控制权，将真正的引导区内容转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容。这时系统看似正常运转，实际上病毒已隐藏在系统中伺机传染、发作。引导型病毒几乎都常驻在内存中10.2.3病毒的分类3．混合型混合型病毒综合了引导型和文件型病毒的特性，它的危害也就比引导型和文件型病毒更为严重。不仅感染引导区，也感染文件，通过这两种方式来感染，更增加了病毒的传染性以及存活率。不管以哪种方式传染，都会在开机或执行程序时感染其他磁盘或文件，这种病毒也是最难杀灭的。10.2.3病毒的分类4．宏病毒是一种使用宏编程语言编写的病毒，主要寄生于Word文档或模板的宏中。一旦打开这样的文档，宏病毒就会被激活，进入计算机内存，并驻留在Normal模板上。此后，所有自动保存的文档都会感染上这种宏病毒，如果网上其他用户打开了这个感染病毒的文档，宏病毒就会传染到他的计算机上。1999年的美丽杀手（Melissa）病毒，它通过Outlook把自己放在电子邮件的附件中自动寄给其他收件人。10.2.3病毒的分类5．网络病毒不感染文件或引导区，而是通过网络来传播（1）特洛伊木马程序：严格来讲，木马不属于病毒，因为它没有病毒的传染性，因为它有很强的破坏性，所以一般也归类为病毒的一种。（2）蠕虫病毒：通过网络来传播特定的信息，进而造成网络服务遭到拒绝。（3）网页病毒：指在网页中用JavaApplet、JavaScript或者ActiveX设计的非法恶意程序。10.2.4病毒的传播及危害1．病毒的传播途径（1）移动存储设备传播。移动存储设备包括软盘、光盘、优盘、磁带等（2）网络传播。网络应用（如电子邮件、文件下载、网页浏览、聊天软件）已经成为计算机病毒传播的主要方式（3）无线传播。通过点对点通信系统和无线通道传播。２．病毒的具体危害（1）病毒发作对计算机数据信息的直接破坏（2）占用磁盘空间和对信息的破坏（3）抢占系统资源（4）影响计算机运行速度（5）计算机病毒错误与不可预见的危害（6）计算机病毒给用户造成严重的心理压力

10.2.4病毒的传播及危害10.2.5病毒的发展趋势1．传播网络化通过网络应用（主要是电子邮件）进行传播已经成为计算机病毒的主要传播方式。此类病毒发作和传播通常会造成系统运行速度的减慢。2004年此类病毒的典型代表就是网络天空（Netsky）、贝革热（Bbeagle）、Mydoom。这几个病毒从2004年年初出现，不断有变种相继推出，并且病毒之间相互竞争系统资源，形成了较大的影响和危害。10.2.5病毒的发展趋势2．利用操作系统和应用程序的漏洞这类病毒往往会在爆发初期形成较为严重的危害，大量的攻击和网络探测会严重影响网络的运行速度甚至造成网络瘫痪。同时，被感染的计算机会出现反复重启、速度减慢、部分功能无法使用等现象。最著名的就是震荡波（Sasser）和冲击波（Blaster）病毒。在2004年，利用率较高的漏洞主要有SQL漏洞、RPC漏洞、LSASS漏洞，其中RPC漏洞和LSASS漏洞最为严重。高波（Agobot）病毒是通过RPCDCOM缓冲溢出漏洞进行传播，这也就是“冲击波”所利用的漏洞。10.2.5病毒的发展趋势3．混合型威胁病毒呈现混合型态势，集蠕虫、木马、黑客的功能于一身，传播上也是利用漏洞、邮件、共享等多种途径，从病毒的种类上将更难划分。网络上的金融犯罪与日俱增。他们通过各种手段，在网络中从事违法活动，盗取他人资金，贩卖用户的资料和信息等。10.2.5病毒的发展趋势4．病毒制作技术新利用当前最新的编程语言与编程技术实现的，易于修改从而产生新的变种，容易逃避反病毒软件的搜索。5．病毒家族化特征显著每个病毒的变种数量多，变种出现的速度快。变种通常还会在先前版本的基础上作一些改进，使其进一步完善，传播和破坏能力不断增强。10.2.5病毒的发展趋势6．病毒正在变得简单而又全能病毒的编译方式从传统的全部直接由低级汇编语言撰写逐渐转变为兼并使用低级和高级语言混合撰写的方式；在结构和分工上较传统的单一语言编写的感染型病毒显得更为明朗和清晰。由高级语言编写的主体部分可以更加容易地实现更多的功能，编写难度上大幅度降低，促成更多新型、功能更强病毒的诞生。功能上揉合更多后门和木马功能的特征，感染型病毒正向着结构简单但功能多元化的方向发展。10.3.1蠕虫病毒1．什么是蠕虫（Worm）蠕虫是一种通过网络传播的恶性病毒，它通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。10.3.1蠕虫病毒2．蠕虫病毒的基本结构和传播过程（1）蠕虫的基本程序结构包括以下3个模块：1）传播模块：负责蠕虫的传播，传播模块又可以分为3个基本模块，即扫描模块、攻击模块和复制模块。2）隐藏模块：侵入主机后，用于隐藏蠕虫程序，防止被用户发现。3）目的功能模块：实现对计算机的控制、监视或破坏等功能。10.3.1蠕虫病毒2．蠕虫病毒的基本结构和传播过程（2）蠕虫程序的一般传播过程为：1）扫描：由蠕虫的扫描模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。2）攻击：攻击模块按漏洞攻击步骤自动攻击上一步骤中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。3）复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。10.3.2蠕虫病毒实例—爱情后门是一种危害性很强的蠕虫病毒，发作时间是随机的，主要通过网络和邮件传播，感染对象为硬盘文件夹。当病毒运行时，将自己复制到WINDOWS目录下，文件名为WinRpcsrv.exe并注册成系统服务。然后把自己分别复制到SYSTEM目录下，文件名为syshelp.exe、WinGate.exe，并在注册表RUN项中加入自身键值。病毒利用ntdll提供的API找到LSASS进程，并对其植入远程后门代码，之后病毒将自身复制到WINDOWS目录并尝试在win.ini中加入run=rpcsrv.exe，并进入传播流程。10.3.2蠕虫病毒实例—爱情后门（1）爱情后门病毒的发作过程。1）密码试探攻击：如果成功则将自己复制到对方系统中2）放出后门程序：建立远程shell后门。3）盗用密码：病毒放出一个名为win32vxd.dll的文件（hook函数）用以盗取用户密码。4）后门：病毒本身也将建立一个后门，等待用户连入5）局域网传播：病毒穷举网络资源，并将自己复制过去6）邮件地址搜索线程：用以进行邮件传播。7）发邮件：邮件标题随机地从病毒体内选出10.3.2蠕虫病毒实例—爱情后门2．机器中病毒的特征D、E、F、G盘不能双击打开，硬盘驱动器根目录下存在Autorun.inf。在每个硬盘驱动器根目录下存在很多.zip和.rar压缩文件，文件名多为pass、work、install、letter，大小约为126KB。在每个硬盘驱动器根目录下存在COMMAND.EXE。hxdef.exe、IEXPLORE.EXE、NetManager.exe、NetMeeting.exe、WinHelp.exe等进程占用了CPU。用命令Netstat-an查看网络连接，会发现有很多端口处于连接或监听状态。网络速度极其缓慢。瑞星杀毒后出现Windows无法找到COMMAND.EXE文件，要求定位该文件。在任务管理器上看到多个cmd.exe进程。10.3.2蠕虫病毒实例—爱情后门3．病毒的清除有很多个变种，每个变种的感染方式不尽相同，所以清除病毒的最好方法是使用专业的杀毒软件。具体的处理过程可以按以下步骤进行：1）给系统账户设置足够复杂的登录密码，建议是字母+数字+特殊字符。2）关闭共享文件夹。3）给系统打补丁。4）升级杀毒软件病毒库，断开网络的物理连接，关闭系统还原功能后，进入安全模式使用杀毒软件杀毒。10.3.3蠕虫病毒实例—震网病毒2010年8月“震网”（Stuxnet）的蠕虫病毒，侵入该国工厂企业甚至进入西门子为核电站设计的工业控制软件，并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。２010年9月，伊朗政府宣布，大约3万个网络终端感染“震网”，病毒攻击目标直指核设施。Stuxnet利用微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞，伪造驱动程序的数字签名，通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其开展破坏性攻击。Stuxnet蠕虫的攻击目标是SIMATICWinCC软件10.3.3蠕虫病毒实例—震网病毒工业网络安全薄弱点进行增强和防护（1）基于Windows-Intel平台的工控PC和工业以太网，可能遭到与攻击民用/商用PC和网络相同手段的攻击，例如通过U盘传播恶意代码和网络蠕虫。（2）DCS和现场总线控制系统中的组态软件（测控软件的核心）产品，特别是行业产品被少数公司垄断，例如电力行业常用的西门子SIMATICWinCC。针对组态软件的攻击会从根本上破坏测控体系，Stuxnet病毒的攻击目标正是WinCC系统。（3）基于RS-485总线以及光纤物理层的现场总线，其安全性相对较好10.4.1特洛伊木马简介木马是一种基于远程控制的黑客工具，一般的木马都有控制端和服务端两个执行程序，其中控制端用于攻击者远程控制被植入木马的机器。服务端程序即是木马程序。木马具有隐蔽性和非授权性的特点。隐蔽性是为了防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，而这些权力并不是被赋予的，而是窃取的。10.4.2木马的工作原理（1）硬件部分：是建立木马连接所必须的硬件实体。①控制端：对服务端进行远程控制的一方；②服务端：被远程控制的一方；③Internet：控制端对服务端进行远程控制、数据传输的网络载体。10.4.2木马的工作原理（2）软件部分：是实现远程控制所必须的软件程序。包括：①控制端程序：控制端用以远程控制服务端的程序；②木马程序：潜入服务端内部，获取其操作权限的程序；③木马配置程序：设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏得更隐蔽的程序。10.4.2木马的工作原理（3）连接的建立：是通过Internet在服务端和控制端之间建立一条木马通道。①控制端IP/服务端IP：即控制端/服务端的网络地址，也是木马进行数据传输的源地址和目的地址②控制端端口/木马端口：即控制端/服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。10.4.2木马的工作原理（3）连接的建立：是通过Internet在服务端和控制端之间建立一条木马通道。①控制端IP/服务端IP：即控制端/服务端的网络地址，也是木马进行数据传输的源地址和目的地址②控制端端口/木马端口：即控制端/服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。10.4.2木马的工作原理木马进行网络入侵，从过程上看大致可分为六步：1．配置木马：隐藏木马，对信息反馈的方式或地址进行设置2．传播木马：邮件、下载、共享管道3．运行木马：运行触发有很多种，注册表、win.ini、system.ini启动组、autoexec.bat4．信息泄露:收集信息，传给控制端5．建立连接：扫描特定端口（服务端）建议连接6．远程控制：窃取密码、文件操作、修改注册表、系统操作10.4.3木马的一般清除方法

如果发现有木马存在，首先就是马上将计算机与网络断开，防止黑客通过网络进行攻击。编辑win.ini文件，将[WINDOWS]下面的“run=木马程序”、“load=木马程序”编辑system.ini文件，将[BOOT]下面的“shell=木马文件”更改为shell=explorer.exe；在注册表中，先在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下找到木马程序的文件名，找到此木马文件并删除掉重新启动计算机，然后再到注册表中将所有木马文件的键值删除10.5勒索软件（ransomware）10.5.1什么是勒索软件勒索软件（ransomware）也叫加密木马、勒索病毒。一量勒索软件进入你的计算机，它会加密你的数据或锁定操作系统，使用户数据资产或计算资源无法正常使用。一旦它掌握这些“数字人质”，就会以此作为筹码向受害者索要一定数额的赎金。数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币勒索软件出现于1989年；2013下半年开始，是现代勒索病毒正式成型的时期；2016年开始，WannaCry勒索蠕虫病毒大爆发，且目的不在于勒索钱财，而是制造影响全球的大规模破坏行动。10.5.1什么是勒索软件2022年斯达黎加政府受到的勒索攻击最受关注，因为这是首次一个国家宣布进入“国家紧急状态”以应对勒索软件攻击。2022年2月底，全球知名的半导体芯片公司英伟达被曝遭到勒索软件攻击同期，两家丰田供应商Denso和Bridgestone也相继成为勒索软件攻击的牺牲品。2022年1月5日，美国新墨西哥州伯纳利洛县沦为勒索软件攻击的受害者10.5.1什么是勒索软件2023年上半年全球威胁报告，勒索软件仍然以很快的速度增长10.5.1什么是勒索软件2023年上半年检测到的最活跃的勒索软件10.5.2勒索软件的一般攻击过程（1）尝试针对性地开展漏洞攻击尝试。那些“体检”不过关的组织，就要付出相应代价。（2）传播已经在组织网络的内部部署了恶意软件，会在整个网络中进行横向传播，尽可能多的造成大范围感染。（3）扫描对网络进行扫描以识别要加密的文件。还会窃取重要数据，以便在之后勒索环节增加多重威胁。（4）潜伏如果顺利获取重要数据，就会进入下一环节，但如果没有的话，他们就会潜伏下来等待时机。10.5.2勒索软件的一般攻击过程（5）加密当攻击者完成分析和清点后，会启动加密过程。攻击者不会轻易让受害者很快找到其他方法而降低支付赎金的意愿。（6）勒索勒索是攻击最终展现形式和目的，发送索要赎金的信息，并说明如何支付赎金和付款细节。（7）解密如果受害者选择支付赎金，勒索软件的运营者可能会提供解密密钥或解锁工具，以便用户可以恢复其文件。（8）后续威胁有时即使用户支付了赎金并成功解密文件，系统仍可能受到其他恶意软件的影响。10.5.3RaaS—勒索软件即服务10.5.3RaaS—勒索软件即服务（1）勒索软件开发人员定制漏洞利用的代码，然后将其许可给勒索软件公司，收取费用或分享攻击收益。（2）公司使用定制的漏洞利用代码更新托管网站。（3）识别并定位感染目标，并将漏洞利用代码传递给受害者（例如，通过恶意电子邮件）。（4）受害者点击链接或访问该网站。（5）勒索软件下载到受害者的计算机上并执行。（6）勒索软件对受害者的文件进行加密，并识别网络上的其他目标，修改系统配置以建立持久性连接，中断或破坏数据备份，并掩盖其踪迹。（7）受害者收到赎金提示，并被指示使用无法追踪的资金（通常是加密货币）支付赎金。（8）收到赎金后，勒索软件公司可能会向受害者发送解密器，也可能会对受害者提出额外的要求，或者什么都不做，给受害者留下加密文件。10.5.3RaaS—勒索软件即服务RaaS扩大了勒索软件威胁形势一方面，它降低了勒索软件公司的执行成本，因为公司可以使用已开发好的勒索软件，而不必开发自己的软件去执行攻击和赚钱；另一方面，对于勒索软件开发人员来说，RaaS可以像直接支付赎金一样有利可图，因为开发人员和公司都会从已支付赎金中分一杯羹。因此，勒索软件攻击正在影响越来越多的目标，并且更加频繁地发生。10.5.4Conti勒索软件分析Conti勒索软件家族于2019年被发现，其背后的攻击组织在地下论坛以RaaS（勒索软件即服务）形式运营，并广泛招收附属成员。该勒索软件主要通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议（RDP）进行传播，组合利用多种工具实现内网横向移动。利用匿名化Tor建立赎金支付与数据泄露平台，采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。截至2021年12月15日，共计公布了631个受害者信息，其中，2021年全球范围超过470个组织机构受到影响。受害者主要集中于美国、意大利、德国、澳大利亚和法国，所属行业涉及制造、服务、建筑、金融、能源、医疗和政府组织机构。我国也有被公开的受害者。10.5.4Conti勒索软件分析1．攻击案例（1）攻击爱尔兰卫生服务执行局并窃取700GB敏感文件（2）攻击美国俄克拉荷马州塔尔萨市并窃取18000多份敏感文件（3）攻击日本电子产品供应商并窃取1.5TB数据（4）攻击英国伦敦高端珠宝商并窃取大量名人、政治家和国家元首数据文件10.5.4Conti勒索软件分析10.5.5预防和响应措施1．勒索攻击激增的原因（1）密码学的进步。加密算法的广泛可用性使勒索软件更加强大。（2）比特币。缺乏管理机构的监督，匿名性特点，使其成为勒索软件需求的理想货币。（3）勒索软件即服务（RaaS）。RaaS降低了勒索攻击的门槛，没有非常专业的知识，能使用现成工具进行攻击。（4）操作系统缺乏运行时检测功能。无法在早期阶段阻止勒索软件的执行，甚至可能在实际加密开始之前。（5）用户没有接受过适当的培训。很多用户没有意识到打开恶意电子邮件附件的危险。（6）攻击者在社会工程方面越来越熟练。10.5.5预防和响应措施2．缓解组织风险的策略（1）对员工进行教育。（2）定期进行数据备份。（3）限制代码执行。（4）限制管理和系统访问。（5）维护和更新软件。10.5.5预防和响应措施3．个人防护策略（1）强化终端防护：安装反病毒软件，开启勒索病毒防御工具模块；（2）加强口令强度：避免使用弱口令，同时避免多个服务器使用相同口令；（3）及时更新补丁：建议开启自动更新功能，安装系统补丁，服务器应及时更新系统）补丁；（4）关闭高危端口：关闭3389、445、139、135等不用的高危端口；（5）关闭PowerShell：如不使用PowerShell命令行工具，建议将其关闭；（6）定期数据备份：定期对重要文件进行数据备份，备份数据应与主机隔离；10.5.5预防和响应措施4．发生勒索软件攻击后措施（1）拍摄系统的快照。尝试捕获系统内存的快照，有助于定位勒索软件的攻击媒介以及任何有助于解密数据的加密材料。（2）关闭系统。防止勒索软件的进一步传播和不可避免的数据损坏。（3）确定攻击媒介。召回所有涉嫌携带勒索软件攻击的电子邮件，以防止攻击进一步传播。（4）阻止勒索软件对任何已识别的命令和控制服务器的网络访问。勒索软件不访问这些服务器无法加密数据。（5）考虑通知当局。通知当局以便他们帮助进行调查，但也增加了数据可能永远无法恢复和赎金随着时间的流逝而增加的风险。10.6反病毒技术10.6.1反病毒技术的发展阶段10.6.2高级反病毒技术10.6.1反病毒技术的发展阶段反病毒方法包括以下几个措施：检测：是指能够确定一个系统是否已发生病毒感染，并能正确确定病毒的位置。识别：检测到病毒后，能够辨别出病毒的种类。清除：识别病毒之后，清除病毒并使程序还原到感染之前的状态。无法识别或清除病毒，删除被病毒感染的文件，重新安装未被感染的版本。反病毒软件可以划分为四代：第一代：简单的扫描器。第二代：启发式扫描器。第三代：行为陷阱。第四代：全部特征保护。10.6.1反病毒技术的发展阶段2．第二代：启发式扫描器使用启发式规则来寻找可能的病毒感染通过查找通常与病毒相关的代码段来发现病毒。比如，扫描器可以寻找用变形病毒的加密循环，并发现加密密钥。完整性检查。为每个程序附加一个校验和，当一个病毒改变了程序但没有改变校验和，那么完整性认证就可以捕捉到这个变化。校验和法。病毒在感染程序时，大多都会使被感染的程序大小增加或者日期改变，校验和法就是根据病毒的这种行为来进行判断的。对文件的改变十分敏感,误报率较高10.6.1反病毒技术的发展阶段3．第三代：行为陷阱第三代反病毒程序是内存驻留型的，它通过病毒的行为识别病毒，而不是像上两代那样通过病毒的特征或病毒感染文件的特征来识别。——行为监视法好处是不必为类型众多的病毒制定病毒特征库或启发式规则，而只需要很小的表示可能有感染动作集合。针对未知病毒和变形病毒设计。采用人工智能技术，需要常驻内存，实现起来也有很大的技术难度。10.6.1反病毒技术的发展阶段4．第四代：全部特征保护第四代反病毒产品是综合运用很多种不同的反病毒技术的软件包，包括扫描和活动陷阱组件等。此外，这样的软件包还包含访问控制功能，这限制了病毒渗透系统的能力和更新文件、进行传播的感染能力。10.6.2高级反病毒技术1．通用解密通用解密（GenericDecryption，GD）技术使反病毒软件能够在保证足够快的扫描速度的同时，很容易地检测到最为复杂的病毒变种。当一个包含加密病毒的文件执行时，病毒必须首先对自身解密后才能执行。为检测到病毒的这种结构，GD必须监测可执行文件的运行情况。10.6.2高级反病毒技术1．通用解密GD扫描器包括以下几个部件：（1）CPU仿真器：一种基于软件的虚拟计算机。一个可执行文件中的指令由仿真器来解释，而不是由底层的处理器解释。仿真器包括所有的寄存器和其他处理器硬件的软件版本，由于程序由仿真器解释，就可以保持底层处理器不受感染。（2）病毒特征扫描模块：是指在目标代码中寻找已知病毒特征的模块。（3）仿真控制模块：用于控制目标代码的执行。10.6.2高级反病毒技术1．通用解密GD扫描器包括以下几个部件：（1）CPU仿真器：一种基于软件的虚拟计算机。一个可执行文件中的指令由仿真器来解释，而不是由底层的处理器解释。仿真器包括所有的寄存器和其他处理器硬件的软件版本，由于程序由仿真器解释，就可以保持底层处理器不受感染。（2）病毒特征扫描模块：是指在目标代码中寻找已知病毒特征的模块。（3）仿真控制模块：用于控制目标代码的执行。10.6.2高级反病毒技术1．通用解密GD扫描器工作过程：CPU仿真器开始对目标代码的指令逐条进行解释，如果代码中有用于解密和释放病毒的解密过程，CPU仿真器能够发现。仿真控制模块将定期地中断解释，以扫描目标代码中是否包含有已知病毒的特征。在解释的过程中，目标代码（即使有些是病毒）不会对实际的个人计算机造成危害，这是因为代码是在仿真器中运行的，而仿真器是一个在系统完全控制下的安全环境。10.6.2高级反病毒技术2．数字免疫系统10.6.2高级反病毒技术2．数字免疫系统（1）每台PC机上运行一个监控程序，在判断某程序被感染之后会将该程序的一个副本发送到管理机上。（2）管理机对收到的样本加密，发送给中央病毒分析机。（3）病毒分析机创建了一个可以让受感染程序受控运行并对其进行分析的环境，产生针对该病毒的策略描述。（4）病毒分析机将策略描述回传给管理机。（5）管理机向受感染客户机转发该策略描述。（6）该策略描述同时也被转发给组织内的其他客户机。（7）各地的反病毒软件用户将会定期收到病毒库更新文件，以防止新病毒的攻击。10.6.2高级反病毒技术3．行为阻断软件行为阻断软件和主机操作系统结合起来，实时监控恶意的程序行为。监控的行为包括：（1）试图打开、浏览、删除、修改文件。（2）试图格式化磁盘或者其他不可恢复的磁盘操作。（3）试图修改可执行文件、脚本、宏。（4）试图修改关键的系统设置，如启动设置。（5）电子邮件脚本、及时消息客户发送的可执行内容。（6）可疑的初始化网络连接。只针对行为，不检测特征，能够阻断未知病毒的攻击。10.6.2高级反病毒技术4．基于云安全技术的防病毒策略云安全就是将病毒的采集、识别、查杀、处理等行为全部放在“云”端，基于互联网对与此连接的终端的安全信息进行处理的一种技术。云安全技术主要包含Web信誉技术(WRT)、邮件信誉技术(ERT)以及文件信誉技术(FRT)。10.7.1防病毒措施1．服务器防病毒措施安装正版杀毒软件。拦截受感染的附件。合理设置权限。取消不必要的共享。重要数据定期存档。10.7.1防病毒措施2．终端用户防病毒措施安装可信赖的安全软件定期更新操作系统和应用程序谨慎点击链接和打开附件使用强密码启用防火墙和使用安全连接备份重要数据教育和培训10.7.1防病毒措施3、网络防病毒措施防火墙和检测反病毒软件安全更新和漏洞修复网络隔离安全策略和权限管理安全培训和教育网络审计和监控备份和紧急响应计划10.7.2常用杀毒软件10.7.2常用杀毒软件免费反病毒软件最受用户欢迎，avast!免费版是最受欢迎的免费反病毒软件，其次是AviraAntiVir个人版（小红伞），AVG